Çin ve Kuzey Kore ile bağları olduğundan şüphelenilen tehdit aktörlerinin, 2021 ve 2023 yılları arasında dünya genelinde hükümetleri ve kritik altyapı sektörlerini hedef alan fidye yazılımı ve veri şifreleme saldırılarıyla bağlantısı olduğu belirlendi.
Bir faaliyet kümesi ChamelGang (aka CamoFei) ile ilişkilendirilirken, ikinci küme daha önce Çin ve Kuzey Kore devlet destekli gruplara, siber güvenlik firmaları SentinelOne ve Recorded Future’a atfedilen faaliyetlerle örtüşüyor söz konusu The Hacker News ile paylaşılan ortak bir raporda.
Buna ChamelGang’ın 2022’de CatB fidye yazılımını kullanarak Tüm Hindistan Tıp Bilimleri Enstitüsü’ne (AIIMS) ve Brezilya Başkanlığı’na yönelik saldırılarının yanı sıra Doğu Asya’daki bir hükümet kuruluşunu ve Hindistan alt kıtasındaki bir havacılık kuruluşunu hedef alan saldırıları da dahildir.
Güvenlik araştırmacıları Aleksandar Milenkoski ve Julian, “Siber casusluk ekosistemindeki tehdit aktörleri, fidye yazılımını mali kazanç, kesinti, dikkat dağıtma, yanlış atıf yapma veya kanıtları ortadan kaldırma amacıyla operasyonlarının son aşaması olarak kullanmak gibi giderek daha rahatsız edici bir eğilime giriyor.” -Ferdinand Vögele dedi.
Bu bağlamdaki fidye yazılımı saldırıları yalnızca sabotaj için bir çıkış noktası görevi görmekle kalmıyor, aynı zamanda tehdit aktörlerinin, savunucuları varlıklarına karşı uyarabilecek eserleri yok ederek izlerini gizlemelerine de olanak tanıyor.
İlk olarak 2021’de Positive Technologies tarafından belgelenen ChamelGang’ın, istihbarat toplama, veri hırsızlığı, mali kazanç, hizmet reddi saldırıları (DoS) saldırıları ve bilgi operasyonları gibi çeşitli motivasyonlarla faaliyet gösteren Çin bağlantılı bir grup olduğu değerlendiriliyor. binaen Tayvanlı siber güvenlik firması TeamT5’e.
Şirketin cephaneliğinde BeaconLoader, Cobalt Strike, AukDoor ve DoorMe gibi arka kapılar ve Brezilya ve Hindistan’ı hedef alan saldırılarda kullanıldığı tespit edilen CatB adlı bir fidye yazılımı türü de dahil olmak üzere çok çeşitli araçlar bulunduğu biliniyor. Bu türün, fidye notundaki ortak noktalar, iletişim e-posta adresinin biçimi, kripto para cüzdan adresi ve şifrelenmiş dosyaların dosya adı uzantısı göz önüne alındığında Brezilya ve Hindistan’ı hedef alan saldırılarda kullanıldığı tespit edildi.
2023’te gözlemlenen saldırılar, ek araçların bırakılması ve NTDS.dit veritabanı dosyasının dışarı çıkarılması gibi keşif ve kullanım sonrası faaliyetler için Cobalt Strike’ı sunmak üzere BeaconLoader’ın güncellenmiş bir sürümünden de yararlandı.
Ayrıca, DoorMe ve MGDrive (macOS varyantı Gimmick olarak adlandırılır) gibi ChamelGang tarafından kullanıma sunulan özel kötü amaçlı yazılımların, REF2924 ve Storm Cloud gibi diğer Çinli tehdit gruplarıyla da bağlantılı olduğunu ve bir kez daha bir saldırı olasılığına işaret ettiğini belirtmekte fayda var. “farklı operasyonel gruplara kötü amaçlı yazılım sağlayan dijital malzeme sorumlusu.”
Diğer izinsiz girişler arasında Jetico BestCrypt ve Microsoft BitLocker’ın Kuzey Amerika, Güney Amerika ve Avrupa’daki çeşitli sektörleri etkileyen siber saldırılarda kullanılması yer alıyor. Başta ABD imalat sektörü olmak üzere 37 kadar kuruluşun hedef alındığı tahmin ediliyor.
İki siber güvenlik şirketine göre gözlemlenen taktikler kümesi şu şekildedir: tutarlı Bunlar, China Chopper web kabuğu ve DTrack olarak bilinen bir arka kapı gibi araçların varlığı nedeniyle, APT41 adlı Çinli bir bilgisayar korsanlığı ekibine ve Andariel olarak bilinen Kuzey Koreli bir aktöre atfediliyor.
Araştırmacılar, “Fidye yazılımı faaliyetleri olarak gizlenen siber casusluk operasyonları, düşman ülkelere, eylemleri devlet destekli kuruluşlar yerine bağımsız siber suç aktörlerine atfederek makul inkar edilebilirlik iddiasında bulunma fırsatı sunuyor” dedi.
“Siber casusluk tehdit grupları tarafından fidye yazılımının kullanılması, siber suç ile siber casusluk arasındaki çizgiyi bulanıklaştırıyor ve düşmanlara hem stratejik hem de operasyonel açıdan avantajlar sağlıyor.”
